实验命令

1. 配置AS1和AS2两台接入层交换机

#AS1
Switch>en
Switch#conf t
Switch(config)#vlan 11
Switch(config-vlan)#int f0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 11
Switch(config-if)#int f0/23
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 22
Switch(config)#int f0/24
Switch(config-if)#switchport mode trunk
#AS2
Switch>en
Switch#conf t
Switch(config)#vlan 22
Switch(config-vlan)#int f0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 22
Switch(config)#int f0/24
Switch(config-if)#switchport mode trunk

2. 配置CS核心交换机

#CS
Switch>en
Switch#conf t
Switch(config)#ip routing

Switch(config)#int f0/1
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config)#int f0/2
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk

Switch(config)#vlan 11
Switch(config-vlan)#vlan 22
Switch(config-vlan)#vlan 100
Switch(config-vlan)#vlan 200
Switch(config-vlan)#int f0/24
Switch(config-if)#no shutdown
Switch(config-if)#switchport access vlan 200
Switch(config-if)#int vlan 1
Switch(config-if)#no shutdown
Switch(config-if)#int f0/22
Switch(config-if)#no shutdown
Switch(config-if)#switchport access vlan 1
Switch(config-if)#int f0/6
Switch(config-if)#no shutdown
Switch(config-if)#switchport access vlan 100

Switch(config-if)#int f0/1
Switch(config-if)#no shutdown
Switch(config-if)#int f0/2
Switch(config-if)#no shutdown
Switch(config)#int vlan 1
Switch(config-if)#ip address 172.16.1.1 255.255.255.0
Switch(config-if)#int vlan 11
Switch(config-if)#ip address 172.16.11.1 255.255.255.0
Switch(config-if)#int vlan 22
Switch(config-if)#ip address 172.16.22.1 255.255.255.0
Switch(config-if)#int vlan 100
Switch(config-if)#ip address 172.16.100.254 255.255.255.0
Switch(config-if)#int vlan 200
Switch(config-if)#ip address 172.16.200.1 255.255.255.0

Switch(config-if)#int f0/5
Switch(config-if)#no switchport
Switch(config-if)#ip address 172.16.253.1 255.255.255.0
Switch(config)#ip route 0.0.0.0 0.0.0.0 172.16.253.2

3. 配置Firewall出口路由器

Router(config)#ip route 0.0.0.0 0.0.0.0 2.0.0.1
Router(config)#ip route 172.16.0.0 255.255.0.0 172.16.253.1
Router(config)#access-list 101 deny ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255
Router(config)#access-list 101 permit ip 172.16.0.0 0.0.255.255 any
Router(config)#ip nat inside source list 101 interface f1/0 overload
Router(config)#int f0/0
Router(config-if)#ip access-group 101 in
Router(config-if)#ip nat inside
Router(config-if)#int f1/0
Router(config-if)#ip access-group 101 out
Router(config-if)#ip nat outside
Router(config)#ip nat inside source static 172.16.254.2 2.0.0.3
Router(config)#int f0/1
Router(config-if)#ip nat inside
Router(config)#access-list 103 deny ip 172.16.11.2 0.0.0.0 any
Router(config)#access-list 103 permit ip 172.16.11.2 0.0.0.0 172.16.254.2 255.555.255.0
Router(config)#access-list 103 permit ip any
Router(config)#int f0/0
Router(config-if)#ip access-group 103 out
4.配置ISP1、ISP2、ISP3互联网路由器

#ISP1
Router(config)#int loopback 0
Router(config-if)#ip address 1.1.1.1 255.0.0.0
Router(config)#router ospf 1
Router(config-router)#network 2.0.0.0 0.0.0.7 area 0
Router(config-router)#network 3.0.0.0 0.0.0.255 area 0
Router(config-router)#network 5.0.0.0 0.0.0.255 area 0
Router(config-router)#end
Router#show ip route
#ISP2
Router(config)#int loopback 0
Router(config-if)#ip address 2.2.2.2 255.0.0.0
Router(config-if)#exit
Router(config)#router ospf 1
Router(config-router)#network 5.0.0.0 0.0.0.255 area 0
Router(config-router)#network 4.0.0.0 0.0.0.255 area 0
Router(config-router)#network 8.0.0.0 0.0.0.255 area 0
Router(config-router)#network 7.0.0.0 0.0.0.3 area 0
Router(config-router)#end
Router#show ip route
#ISP3
Router(config)#int loopback 0
Router(config-if)#ip address 9.9.9.9 255.0.0.0
Router(config-if)#exit
Router(config)#route ospf 1
Router(config-router)#network 3.0.0.0 0.0.0.255 area 0
Router(config-router)#network 6.0.0.0 0.0.0.255 area 0
Router(config-router)#network 4.0.0.0 0.0.0.255 area 0
Router(config-router)#end
Router#show ip route

5.配置Div-R分公司路由器
#ISP2
ISP2(config)# interface serial 0/1/0
ISP2(config-if)# clock rate 2000000
ISP2(config-if)# encapsulation ppp
ISP2(config-if)# ppp authentication pap // 认证方式为PAP加密
ISP2(config)# username user1 password 0 123 //主认证方配置

#Div-R
Div-R(config)# interface serial 0/1/0
Div-R(config-if)# encapsulation ppp
Div-R(config-if)# ppp authentication pap // 认证方式为PAP加密
Div-R(config-if)# ppp pap sent-username user1 password 0 123
Div-R(config)#ip route 0.0.0.0 0.0.0.0 7.0.0.1
Div-R(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
Div-R(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 any
Div-R(config)#ip nat inside source list 101 int s0/1/0 overload
Div-R(config)#int s0/1/0
Div-R(config-if)#ip nat outside
Div-R(config)#int f0/0
Div-R(config-if)#ip nat inside

6、配置wlan无线接入

AP --> Config --> Port 1 --> SSID: AP1 WPA2-PSK: 12345678
Wireless Router0 --> Config --> Wireless --> SSID: AP2 WPA2-PSK: 87654321
在两台笔记本上配置无线网卡，分别接入无线AP和无线路由器
Laptop22.3：手动配置静态 IP 地址172.16.22.3
Laptop22.3： --> config --> wireless0 --> SSID: AP1 wpa2-psk:12345678

Laptop1： --> config --> wireless0 --> SSID: AP2 wpa2-psk:87654321
--> Desktop --> Connect --> Refresh --> 选择AP2 --> Connect

7、配置PPPoE接入

Cloud0 ---> DSL ---> Modem4 <-> Ethernet6
Modem5 <-> Ethernet6
#ISP2
Router(config)#int f1/0
Router(config-if)#ip address 8.0.0.1 255.0.0.0
Router(config)#pppoe enable // 配置接口启用pppoe
Router(config)#ip local pool mypool 8.0.0.10 8.0.0.100 // 配置地址池
Router(config)#username user1 password 0 123 /
Router(config)#aaa new-model // 启用 AAA
Router(config)#aaa authentication ppp default group radius // 使用 Radius 对所有 PPP 用户进行身份验证
Router(config)#radius-server host 6.0.0.2 key 123 // 指定外部 AAA 服务器,设置预共享密钥
Router(config)#int virtual-template 1 // 定义虚拟模板
Router(config-if)#ip unnumbered f1/0 // 借用以太口地址
Router(config)#peer default ip address pool mypool // 设定地址池
Router(config)#ppp authentication chap // 设定认证方式
Router(config)#vpdn enable // 全局启用虚拟拨号
Router(config)#vpdn-group mygroup // 定义虚拟拨号组
Router(config-vpdn)#accept-dialin
// 允许拨号接入
Router(config-vpdn-acc-in)#protocol pppoe // 接入协议为pppoe
Router(config-vpdn-acc-in)#virtual-template 1 // 设定虚拟模板

#Inter-Srv

Service ---> AAA --->
Network Configuration:
pppoe 4.0.0.2 Radius aaa
ppp 8.0.0.1 Radius aaa
User Setup:
u1 cisco // 用于 WireLess 认证
test 123 // 用于 PC0 认证
在pc0使用PPPoE Dialer接入网络，ipconfig查看地址并ping6.0.0.2
Desktop ---> PPPoE ---> User Name: test Password: 123
配置无线路由器使用PPPoE接入网络
Setup ---> PPPoE ---> Username: u1 Password: cisco Save Settings
WireLess ---> Basic WireLess Settings ---> Network Name: AP2 Standard Channel: 11
---> WireLess Security ---> Security Mode: WAP2 Persional AES 87654321

8、配置×××

×××，对端为7.0.0.2，认证方式为pre−share，key为123，加密方式为ah−md5−hmac esp−des，从总部172.16.0.0到分公司192.168.1.0的流量加密
FireWall(config)# ip route 0.0.0.0 0.0.0.0 2.0.0.1 // 添加默认路由( 已添加 )# 配置 IKE 协商
FireWall(config)#crypto isakmp enable // 启动 IKE
FireWall(config)#crypto isakmp policy 1 // 建立 IKE 协商策略
FireWall(config-isakmap)#hash md5 // 认证算法
FireWall(config-isakmap)#authentication pre−share // 使用预定义密钥
FireWall(config-isakmap)#exit
FireWall(config)#crypto isakmp key aaa address 7.0.0.2 // 设置共享密钥和对端地址

#配置 IPSec 协商
FireWall(config)#crypto ipsec transform−set testform ah−md5−hmac esp−des
// 定义了使用AH还是ESP协议，以及相应协议所用的算法
FireWall(config)#access−list 102 permit ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255
// 配置保护访问控制列表，用来定义哪些报文需要经过 IPSec 加密后发送，哪些报文直接发送

    #配置端口的应用FireWall(config)#crypto map testmap 1 ipsec−isakmp      // 创建 Crypto Maps FireWall(config-crypto-map)#set peer 7.0.0.2            // 对端地址FireWall(config-crypto-map)#set transform−set  testform // 传输模式的名称FireWall(config-crypto-map)#match address 102           // ACL编号( access-list 102 )FireWall(config)#interface f1/0                         // 应用 Crypto Maps 到端口上FireWall(config-if)# crypto map testmap#检查 IPSec 配置Router# show crypto isakmp policy                   // 查看IKE策略Router# show crypto ipsec transform-set             // 查看 IPSec 策略Router# show crypto ipsec sa                        // 查看SA信息Router# show crypto map                             // 查看加密映#DIV-R
在分公司DIV-R配置端到端IPSec ×××，对端为2.0.0.2，认证方式为pre−share，key为123，加密方式为ah−md5−hmac esp−des，从分公司192.168.1.0到总部172.16.0.0的流量加密DIV-R(config)# ip route 0.0.0.0 0.0.0.0 2.0.0.1         // 添加默认路由( 已添加 )# 配置 IKE 协商DIV-R(config)#crypto isakmp enable                  // 启动 IKE DIV-R(config)#crypto isakmp policy 1                    // 建立 IKE 协商策略DIV-R(config-isakmap)#hash md5                      // 认证算法DIV-R(config-isakmap)#authentication pre−share      // 使用预定义密钥DIV-R(config-isakmap)#exitDIV-R(config)#crypto isakmp key 123 address 2.0.0.2 // 设置共享密钥和对端地址# 配置 IPSec 协商DIV-R(config)#crypto ipsec transform−set testform ah−md5−hmac esp−des// 定义了使用AH还是ESP协议，以及相应协议所用的算法DIV-R(config)#access−list 102 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255// 配置保护访问控制列表，用来定义哪些报文需要经过 IPSec 加密后发送，哪些报文直接发送# 配置端口的应用DIV-R(config)#crypto map testmap 1 ipsec−isakmp     // 创建 Crypto Maps DIV-R(config-crypto-map)#set peer 2.0.0.2           // 对端地址DIV-R(config-crypto-map)#set transform−set  testform    // 传输模式的名称DIV-R(config-crypto-map)#match address 102          // ACL编号( access-list 102 )DIV-R(config)#interface s0/1/0                          // 应用 Crypto Maps 到端口上DIV-R(config-if)# crypto map testmap# 检查 IPSec 配置Router# show crypto isakmp policy                   // 查看IKE策略Router# show crypto ipsec transform-set             // 查看 IPSec 策略Router# show crypto ipsec sa                        // 查看SA信息Router# show crypto map                             // 查看加密映射

9、配置VoIP
a)把总部IP电话和callmanager的接入端口加入到voice vlan1
AS1：
vlan 100
int f0/1
switchport mode access
switchport access vlan 100
switchport voice vlan 1
AS2:
vlan 100
int f0/1
switchport mode access
switchport access vlan 100
switchport voice vlan 1
CS:
int f0/6
switchport mode access
switchport access vlan 100
switchport voice vlan 1

b)把分公司IP电话和Div-R向内网的接入端口加入到voice  vlan1Switch3:int f0/1switchport voice vlan 1switchport mode accessint f0/24switchport mode accessswitchport voice vlan 1c)在公司总部配置callmanager ，测试总部两部电话的连通性CallManager:# 配置接口# int f0/0# ip add 172.16.100.1 255.255.255.0# 配置DHCP# ip dhcp pool voice# network 172.16.100.0 255.255.255.0# default-router 172.16.100.1# option 150 ip 172.16.100.1# 配置呼叫服务# telephone-service# max-dn 10# max-ephone 10# ip source-address 172.16.100.1 port 2000# auto assign 1 to 10# 为电话配置号码# ephone-dn 1# number 1001# ephone-dn 2# number 1002 d)在分公司配置Div-R出口路由器作为callmanager，检查分公司IP电话Router:# 配置接口# int f0/0# ip add 192.168.1.1 255.255.255.0# 配置DHCP# ip dhcp pool voip# network 192.168.1.0 255.255.255.0# default-router 192.168.1.1# option 150 ip 192.168.1.1# 配置呼叫服务# telephone-service# max-dn 10# max-ephone 10# ip source-address 192.168.1.1 port 2000# auto assign 1 to 10# 为电话配置号码# ephone-dn 1# number 2001
e)把总部IP电话和callmanager的接入端口加入到vlan100在 9、a) 中已经完成该步操作f)在CS上设置VLAN100的虚接口地址为172.16.100.254int vlan 100ip address 172.16.100.254 255.255.255.0g)在总部callmanager上设置默认路由指向172.16.100.254ip route 0.0.0.0 0.0.0.0 172.16.100.254h)配置两台callmanager点对点连接，测试总部到分公司电话的连通性CallManager：dial-peer voice 1 voipdestination-pattern  2...session target ipv4:192.168.1.1Router-FW：dial-peer voice 1 voipdestination-pattern  1...session target ipv4:172.16.100.1限制 11.2 上网
d)配置控制列表禁止PC11.2访问互联网( ☆☆☆建议最后设置该规则☆☆☆ )Ø 设置扩展访问控制列表，允许PC11.2访问DMZ-Srv、禁止PC11.2访问其他地址、允许所有IP流量access-list 103 deny ip 172.16.11.2 0.0.0.0 anyaccess-list 103 permit ip 172.16.11.2 0.0.0.0 172.16.254.2 255.555.255.0access-list 103 permit ip anyØ 把访问控制列表应用于Firewall内网接口入方向上int f0/0 ip access-group 103 out 

转载于:https://blog.51cto.com/13670314/2316347

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！